ความแตกต่างระหว่าง authentication และ authorization คืออะไร?

Question

Accepted Answer

**Authentication** ตรวจสอบ **ว่าคุณคือใคร** (ตัวตน) ในขณะที่ **authorization** กำหนด **ว่าคุณได้รับอนุญาตให้ทำอะไรได้บ้าง** (สิทธิ์) ทั้งสองอย่างต่างกันแต่เกี่ยวข้องกัน โดย authentication มาก่อน (พิสูจน์ตัวตน) แล้วจึงตามด้วย authorization (ตรวจสอบสิทธิ์) การสับสนระหว่างทั้งสองเป็นข้อผิดพลาดที่พบบ่อย

## Authentication — คุณคือใคร?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Authorization — คุณทำอะไรได้บ้าง?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## ความสัมพันธ์และลำดับ

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## ข้อผิดพลาดที่พบบ่อย

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## ทำไมจึงสำคัญ

การเข้าใจความแตกต่างระหว่าง authentication และ authorization เป็นเรื่องพื้นฐาน เพราะทั้งสองเป็น **แนวคิดหลักด้านความปลอดภัยที่เป็นหัวใจของการควบคุมการเข้าถึง** และการสับสนระหว่างทั้งสองเป็นข้อผิดพลาดที่พบบ่อยและมีผลตามมา จึงเป็นความรู้ด้านความปลอดภัยที่จำเป็น

ความแตกต่างที่ว่า **authentication ตรวจสอบว่าคุณคือใคร** (ตัวตน ผ่านการล็อกอิน/credentials/MFA) ในขณะที่ **authorization กำหนดว่าคุณได้รับอนุญาตให้ทำอะไร** (สิทธิ์ โดยตรวจสอบการเข้าถึงทรัพยากรและการกระทำ) เป็นพื้นฐานของวิธีที่แอปพลิเคชันควบคุมการเข้าถึง และการเข้าใจมันอย่างชัดเจนจำเป็นสำหรับการสร้างระบบที่ปลอดภัย

การเข้าใจ **ความสัมพันธ์และลำดับ** (authentication มาก่อนเพื่อยืนยันตัวตน แล้วจึงตามด้วย authorization เพื่อตรวจสอบสิทธิ์ในแต่ละการกระทำ โดยต้องการทั้งสองอย่าง ผู้ใช้ที่ผ่านการยืนยันตัวตนแล้วก็ยังอาจไม่มีสิทธิ์ทำการกระทำบางอย่าง) ช่วยให้เข้าใจว่าทั้งสองทำงานร่วมกันอย่างไรในการควบคุมการเข้าถึง

ที่สำคัญ การเข้าใจ **ข้อผิดพลาดที่พบบ่อย** เป็นเรื่องสำคัญ: การสับสนระหว่างสองแนวคิด และโดยเฉพาะ **broken access control** (ข้อบกพร่องด้านการกำหนดสิทธิ์ ความเสี่ยงอันดับ 1 ของ OWASP) ที่ไม่ได้ตรวจสอบ authorization อย่างถูกต้อง ทำให้ผู้ใช้เข้าถึงหรือแก้ไขสิ่งที่ไม่ควร (เช่นช่องโหว่ IDOR ที่เปลี่ยน ID ใน URL เพื่อเข้าถึงข้อมูลของผู้ใช้อื่น)

คำแนะนำที่ว่าให้ **บังคับใช้ authorization บนเซิร์ฟเวอร์เสมอสำหรับทุกการกระทำที่ได้รับการป้องกัน** เป็นแนวปฏิบัติด้านความปลอดภัยที่จำเป็น ช่องโหว่จริงที่พบบ่อยคือการไม่ตรวจสอบ authorization อย่างถูกต้อง หรือพึ่งพาฝั่ง client ในการบังคับใช้

เนื่องจากการควบคุมการเข้าถึง (authentication + authorization) เป็นพื้นฐานของความปลอดภัยของแอปพลิเคชัน และการสับสนหรือจัดการแนวคิดเหล่านี้ผิดพลาดนำไปสู่ช่องโหว่ร้ายแรง (โดยเฉพาะ broken access control ซึ่งเป็นความเสี่ยงอันดับต้น) และเนื่องจากการเข้าใจความแตกต่าง ลำดับของมัน และข้อผิดพลาดด้าน authorization ที่พบบ่อยจำเป็นสำหรับการสร้างระบบที่ปลอดภัย การเข้าใจ authentication กับ authorization จึงเป็นความรู้ด้านความปลอดภัยพื้นฐานที่จำเป็น เป็นแนวคิดหลักของการควบคุมการเข้าถึงที่นักพัฒนาทุกคนต้องเข้าใจอย่างชัดเจน เป็นหัวใจของการสร้างแอปพลิเคชันที่ปลอดภัยและของการหลีกเลี่ยงช่องโหว่ broken access control ซึ่งเป็นหนึ่งในข้อบกพร่องด้านความปลอดภัยที่พบบ่อยและร้ายแรงที่สุด